Managed Detection and Response(MDR)とは
Managed Detection and Response(MDR)は、セキュリティ専門家、脅威インテリジェンス、高度なツールを兼ね備えた、組織に24時間365日の脅威保護を提供する完全管理型のサイバーセキュリティソリューションです。
サイバーセキュリティが世界中の個人や企業に突きつけている脅威の深刻化は、これまでにも幾度となく伝えられてきました。しかしながら、一部の組織が強固な防御と対応のメカニズムを維持するためにどれほど苦労しているかについては、おそらくほとんど知られていないでしょう。
カスペルスキーの調査によると、情報セキュリティの専門家の41%が、組織のサイバーセキュリティチームの人員は「ある程度」または「かなり」不足していると述べています。つまり、セキュリティの専門家は大きな需要があるため、組織で適切な技能を持つ十分な人材を確保して引き留めておくことが難しくなっているのです。この問題は、あらゆる業種に影響を及ぼしています。公共組織の52%におけるサイバーレジリエンスの最大の課題は技能の不足であることが 世界経済フォーラムで報告されています。同時に、サイバー攻撃への対応と復旧に必要な技能があると述べた小規模企業は、半数以下にとどまっています。
そのため、データ、システム、アプリケーション、ユーザーの安全性を維持するために必要なソリューションや専門知識を求めて、多くの企業がマネージドサービスに関心を寄せています。これを実現する最も効果的な方法の1つとして、Managed Detection and Response(MDR)を利用することが挙げられます。しかしながら、ビジネスにおけるMDRのセキュリティの重要性に組織が気付き始めたのは、ごく最近のことです。Gartnerの調査によると、2023年にはMDRプロバイダーのリモートでの脅威の遮断と封じ込めの機能を積極的に使用している組織はわずか30%でしたが、2025年までに50%に増加すると予想されています。そして、このことに同調するかのように、 Kaspersky Managed Detection and Response(MDR)は、2023年に430件を超えるセキュリティイベントを処理しました。この重大なインシデントの大半は政府機関、産業機関、および金融機関で検知されたものでした。サイバー脅威は常に進化し続けているため、多くの組織がそれに遅れないようにするのは困難です。
Managed Detection and Responseの仕組み
それでは、MDRは実際にはどのように機能するのでしょうか。これは、マネージドサービスとして提供されるサイバーセキュリティの一形態であり、脅威の特定と修復を高速化して、脅威がビジネスに与える影響の規模を最小限に抑えるように設計されています。MDRは、人間が持つセキュリティの技能と高度なテクノロジーを兼ね備えているため、コストとリソースの大幅な効率化が可能です。
優れたMDRサービスは、一般的に次の5つの主要な機能を備えています。
イベントの優先順位付け
高度な技能を持つスタッフによるセキュリティイベントの検査と、事前に設定された自動化されたルールに従ったイベントの評価を組み合わせて、どのイベントが他のイベントよりも関連性が高いか、またはリスクが高いかを特定します。誤検知や問題なさそうなものは優先順位が低くなり、最大の問題はキューの先頭に配置されて、他のMDRサービスによって対応されて細部まで評価されます。
脅威の探索
自動化は潜在的な脅威を特定するための極めて強力なツールですが、包括的なソリューションとして依存することはできません。豊富な経験を有する「脅威ハンター」には、異常なアクティビティや、潜在的なデータ侵害または攻撃をサイバー犯罪者が企てる際にとる行動の種別を特定することに関する深い知識があります。人間とデジタルの両方の力を活用することで、はるかに迅速に脅威にフラグを立てることができ、結果的に短時間での修復が可能になります。
脅威の調査
脅威を特定したら、次の段階として、脅威を深く調査して、問題の真相を究明します。管理された調査サービスで、インシデントの内容、時間、場所を突き止めて、影響を受けた、または将来的に影響を受けるシステム、データ、アプリケーション、およびユーザーを特定します。こうした背景情報はすべて、脅威を遮断するための最も効果的で適切な方法を特定するために必要不可欠です。
対応の支援
MDRのセキュリティのパートナーと連携すると、組織にはソリューションだけでなくアドバイスも提供されます。専門家は、自身の経験や、脅威の探索と調査から得られた情報を活用して、問題に対応するための最善の方法についてアドバイスすることができます。発生しかかっている脅威の排除や、既に発生した攻撃に対する対応と復旧の方法など、さまざまなアドバイスを受けることができます。
管理された修復
必要に応じて行われる修復プロセスは、脅威に関するすべての痕跡を取り除き、システム、アプリケーション、およびデータを攻撃発生前の状態に戻すことを目的としています。これには、マルウェアの除去、レジストリのクリーニング、不正アクセスの拒否、システムの復元、その他の対策など、さまざまなプロセスが含まれます。講じる対策は、脅威や攻撃の性質によって異なり、MDRのセキュリティ専門家と協議して選択されます。
MDRと従来のアンチウイルス製品との違い
MDRサービスと従来のアンチウイルスをベースにしたセキュリティとの最大の違いは、MDRは事前対策型であり、アンチウイルスは事後対策型である点です。
一般的に、アンチウイルスシステムはシグネチャ検知を利用します。マルウェアの変異プログラムがそれぞれ持つ独自のフィンガープリントをシステムが探すというものです。しかしながら、他とは異なる独自のマルウェアの変異プログラムを開発しているサイバー犯罪者が増え続けているため、これらのフィンガープリントでは検知することができなくなっています。いずれの場合も、アンチウイルスはこうした変異プログラムが既知のものとなるまで検知することができません。検知できるようになったときには手遅れで、影響を防ぐことができない場合も少なくありません。
それに対して、Managed Detection and Responseツールは、システム上のマルウェア感染をプロアクティブに探索し、その影響を軽減するために24時間365日稼働し続けます。
MDRとEDRの違い
EDRは「Endpoint Detection and Response」の略称です。EDRは、MDRの優先順位付けの段階で使用される自動化されたルールによって機能します。EDRを導入すると、すべてのエンドポイントのふるまいに関するイベントとパターンが記録されて、セキュリティチームが策定した自動化されたルールに基づいて評価されます。不審なパターンやアクティビティが検知されると、セキュリティチームがさらに調査できるようにフラグが立てられます。
したがって、多くの組織にとってEDRは、高度な技能を持つITセキュリティの専門家と適切に策定されたプロセスや方法に従って機能する、MDRの構成要素の1つです。
Managed Detection and ResponseとXDRは同じものであるか
同じものではありません。簡単に言うと、XDRは「Extended Detection and Response」の略称であり、MDRの原理を次のレベルに押し上げるものです。XDRは、さまざまなデータソースから収集された膨大な量のデータを統合して、より多くの情報に基づいてプロアクティブに脅威ハンティングと脅威の調査を実行できます。さらに、データ損失防止やIDおよびアクセス管理(IAM)などのより高度なツールを活用して、ビジネス全体にわたる脅威の状況を完全に可視化します。
MDRの主なメリット
Managed Detection and Responseサービスを利用すると、さまざまな方法で組織のセキュリティに対するアプローチを変革して、セキュリティ運用のほぼすべての領域でパフォーマンスを向上させることができます。以下に、MDRのセキュリティのメリットの一部を紹介します。
検知時間の短縮
一部の組織では、セキュリティインシデントの検知に数か月かかり、場合によっては気付くことなく、その間にシステム、アプリケーション、およびデータに甚大な被害が発生してしまう可能性があります。MDRを利用すれば、この時間を数日、数時間、または数分にまで短縮できるため、攻撃の影響が及ぶ潜在的な規模を大幅に縮小することができます。
セキュリティ体制の改善
MDRサービスを利用すれば、侵害が重大な影響をもたらす可能性が大幅に低くなるため、ビジネスを強化して、攻撃を受けた場合の復元性を高めることができます。さらに、企業の全体的なセキュリティ構成を最適化するのに役立ち、ビジネスニーズや攻撃の手法が発展した場合でもその状態を維持することができます。
継続的な脅威の検知
Managed Detection and Responseツールは、24時間365日体制で脅威を探索することができるため、脅威やマルウェアが将来の発動のためにシステムに「潜む」ことができなくなります。データのパターンとふるまいを継続的に分析することができるため、悪意のある何らかの動作が発生する前に、異常なアクティビティにフラグを立てることができます。
脅威への対応と修復の迅速化
上記の3点すべてのおかげで、こうした機能がない場合と比較して、脅威への対応と修復をはるかに迅速に行うことができます。問題を早期に把握することで、MDRで脅威への対応をより迅速に策定することができます。つまり、適切な修復活動を、はるかに迅速な方法で、影響を受けた領域に適用することができます。
セキュリティ担当者の負担の軽減
現時点でセキュリティ担当者が不足している場合、複数の異なるセキュリティテクノロジーにその担当者を従事させると、その貴重な時間をさらに圧迫してしまいます。時間がないと、それが原因でインシデントを見過ごしたり、自由に使えるツールを適切に利用できなかったりといった事態につながる可能性があります。こうした負担の大部分をマネージドサービスや高度な技能を持つサードパーティの専門家に任せることで、この時間の圧迫を解放して、社内チームの日々の生産性を最大限に高めることができます。
アラート対応疲れのリスクの最小化
セキュリティテクノロジーを使用すると、セキュリティチームに通知されて、対応する必要があるアラートやインシデントの数が大幅に増加します。これらは、単調で繰り返しが多いため、人為的なミスを招きやすいだけでなく、セキュリティ担当者が、どの問題が最も急を要し、他の問題よりも先に解決する必要があるのかを特定することも困難です。この問題は、MDRサービスの優先順位付けのプロセスで解決します。このプロセスでは、最も緊急性の高い問題が分析されてフラグが立てられて、セキュリティチームに代わってイベントのトリアージが行われます。
Managed Detection and Responseサービスのどこに注目すべきか
MDRサービスの市場は堅調です。Gartnerの調査によると、MDR市場の成長率は48%で、2025年までに22億ドルに達することが見込まれています。このことは、Managed Detection and Responseツールのプロバイダーが数多く存在し、特定のニーズや要件に適したプロバイダーを探すのが難しいことを意味します。選定プロセスの一環として、以下の4つの要素に注目することをおすすめします。
補足的なMDRの技能
皆さんのセキュリティチームの技能基盤は既にかなり充実しているかもしれません。しかし、技能が不足している世界的な傾向から伺えるように、強化すべき領域も少なからずあるはずです。ベンダーを検討するプロセスの初期段階で不足している技能を特定し、その技能に特化した成熟度の高いベンダーを探す必要があります。こうすることで、チームを強化し、完成度を高めることができます。
MDRのセキュリティの知識と能力
優れたManaged Detection and Responseサービスは、現在のセキュリティ情勢に関する最新の知識を備えています。さらに、注意すべき最新の脅威を把握し、地政学的背景や文化的背景を含む、サイバー犯罪を引き起こす多くの根本的要因について精通しています。このようなセキュリティの技能と能力に関連する知識があれば、多くの社内のセキュリティチームにさらなる価値をもたらすでしょう。
MDRのサービス提供とコラボレーション
候補となるMDRのセキュリティサービスが十分な専門知識や技能を提供できると判断した場合でも、そこから既存のチームやテクノロジーに加えて、組織自体と相性がよいことが要件となります。両者の間で情報や知見のやり取りがスムーズに行われるように、プロバイダーは円滑なコミュニケーションに対する確固たる姿勢を示すことができる必要があります。こうした姿勢があれば、社内のセキュリティチームが新しいアプローチを非常に短い時間で把握できるようになります。また、プロバイダーは24時間365日の保護に関する姿勢を示すことができる必要があります。この姿勢を確認できれば、セキュリティチームの通常の勤務時間外もシステムの安全性を保つことができます。
包括的なソリューション
最終的な目標として、すべての領域をカバーするMDRのセキュリティを探す必要があります。Kaspersky Managed Detection and Responseをはじめとするソリューションには、最新の保護テクノロジー、プロアクティブな脅威ハンティング、自動対応とガイド付き対応、世界的に認められた専門知識が備わっているため、安心して利用することができます。こうしたソリューションを導入すれば、サイバー脅威のリスクを最小限に抑えるだけでなく、MDRへのITセキュリティの投資に対して最大限の効果を期待できます。
Quadrant Knowledge Solutionsは、Kaspersky Managed Detection and ResponseとKaspersky Incident Responseを2023年のテクノロジーリーダーのランキングに選出しました。これは、サイバー犯罪から企業を保護するという観点で、これらのソリューションの高い有効性を裏付けるものです。
関連記事: